Cisco Anomaly Guard Module コンフィギュレーション ガイド Software Release 6.1 and 6.1-XG
Guard モジュール の初期化
Guard モジュールの初期化
発行日;2012/02/05 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 3MB) | フィードバック

目次

Guard モジュールの初期化

コマンドライン インターフェイスの使用

ユーザの特権レベルについて

コマンド モードについて

CLI コマンドの入力

コマンドの no 形式の使用

show コマンド構文

CLI のエラー メッセージ

CLI 使用のヒント

ヘルプの使用

タブ補完の使用

操作の方向の規定について

コマンドの省略

ワイルドカード文字の使用

のインターフェイスの設定

物理インターフェイスの設定

Guard モジュールのインターフェイスでの VLAN の設定

物理インターフェイスのカウンタのクリア

デフォルト ゲートウェイの設定

ルーティング テーブルへのスタティック ルートの追加

プロキシ IP アドレスの設定

の管理

Cisco Web-Based Manager による の管理

Cisco DDoS MultiDevice Manager による の管理

SSH を使用した へのアクセス

Guard モジュールの初期化

この章では、Cisco Anomaly Guard Module(Guard モジュール)をネットワーク内で初期化するために必要な基本的作業と管理方法について説明します。


) 1 Gbps で動作する Guard モジュールと、3 Gbps で動作する Guard モジュールでは、動作と設定に違いがあります。この章では、1 Gbps 動作と 3 Gbps 動作の違いについて説明します。特に記載がない限り、この章の情報は両方のモードの動作に適用されます。詳細については、「1 Gbps と 3 Gbps の帯域幅オプションについて」を参照してください。


この章は、次の項で構成されています。

コマンドライン インターフェイスの使用

Guard モジュールのインターフェイスの設定

デフォルト ゲートウェイの設定

ルーティング テーブルへのスタティック ルートの追加

プロキシ IP アドレスの設定

Guard モジュールの管理

コマンドライン インターフェイスの使用

コマンドライン インターフェイス(CLI)を使用して、Guard モジュールの機能を制御できます。Guard モジュールのユーザ インターフェイスはさまざまなコマンド モードに分かれていて、CLI へのアクセス権はユーザの特権レベルに対応しています。ユーザが使用可能なコマンドは、現在どのモードにいるかによって異なります。

この項では、次のトピックについて取り上げます。

ユーザの特権レベルについて

コマンド モードについて

CLI コマンドの入力

CLI 使用のヒント

ユーザの特権レベルについて

CLI へのアクセス権は、ユーザの特権レベルに対応しています。各特権レベルには、独自のコマンドのグループがあります。

表3-1 に、ユーザの特権レベルを示します。

 

表3-1 ユーザの特権レベル

ユーザの特権レベル
説明

管理者(admin

すべての操作にアクセスできます。

設定(config

ユーザの定義、削除、および修正に関連する操作を除いて、すべての操作にアクセスできます。

ダイナミック(dynamic)

監視と診断、保護、およびラーニングに関する操作にアクセスできます。dynamic 特権を持つユーザは、フレックスコンテンツ フィルタおよび動的フィルタを設定することもできます。

表示(show)

監視操作と診断操作にアクセスできます。


) フィルタの設定はすべて、管理者の特権レベルまたは設定の特権レベルを持つユーザが実行することをお勧めします。これより下位の特権レベルしか持たないユーザも、動的フィルタを追加および削除できます。


コマンド モードについて

この項では、Guard モジュール CLI で使用するコマンドおよび設定モードの概要を説明します。各コマンド モードで使用可能なコマンドのリストを入手するには、システム プロンプトで ? を入力します。

表3-2 に、Guard モジュールのコマンド モードを示します。

 

表3-2 Guard モジュール コマンド設定モード

モード
説明

グローバル

リモート デバイスに接続してシステム情報を一覧表示できます。

グローバル プロンプトは、Guard モジュールにログインしたときのデフォルトのプロンプトです。コマンド プロンプトは次のようになっています。

user@GUARD#

設定

Guard モジュールの動作に影響する機能を設定し、ユーザ アクセスを制限できます。

設定モードに入るには、グローバル モードで configure コマンドを使用します。コマンド プロンプトは次のようになっています。

user@GUARD-conf#

インターフェイス設定

Guard モジュール ネットワーキング インターフェイスを設定できます。

インターフェイス設定モードに入るには、設定モードで interface コマンドを使用します。コマンド プロンプトは次のようになっています。

user@GUARD-conf-if-<interface-name>#

ゾーン設定

ゾーンのアトリビュートを設定できます。

ゾーン設定モードに入るには、設定モードで zone コマンドを使用するか、グローバル モードで configure コマンドを使用します。コマンド プロンプトは次のようになっています。

user@GUARD-conf-zone-<zone-name>#

ポリシー テンプレート設定

ゾーン ポリシーのテンプレートを設定できます。

ポリシー テンプレート設定モードに入るには、ゾーン設定モードで policy-template コマンドを使用します。コマンド プロンプトは次のようになっています。

user@GUARD-conf-zone-<zone-name>-policy_template-<policy-template-name>#

ポリシー設定

ゾーン ポリシーを設定できます。

ポリシー設定モードに入るには、ゾーン設定モードで policy コマンドを使用します。コマンド プロンプトは次のようになっています。

user@GUARD-conf-zone-<zone-name>-policy-<policy-path>#

CLI コマンドの入力

この項では、次のトピックについて取り上げます。

コマンドの no 形式の使用

show コマンド構文

CLI のエラー メッセージ

表3-3 に、CLI コマンドの入力規則を示します。

 

表3-3 CLI の規則

操作
キーボード シーケンス

コマンド履歴をスクロールして変更する。

矢印 キーを使用する。

特定のコマンド モードで使用可能なコマンドを表示する。

Shift キーを押して ? (疑問符)を入力する。

コマンドの補完を表示する。

コマンドの最初の部分を入力し、 Tab キーを押す。

コマンド構文の補完を表示する。

コマンドを入力して、 Tab キーを 2 回押す。

more コマンドを使用してスクロールする。

more number-of-lines コマンドを入力する。

more コマンドでは、Space キーを押したときにウィンドウに表示される追加の行数が設定されます。デフォルトは、その端末で表示可能な行数より 2 行少ない行数です。

number-of-lines 引数は、Space キーを押したときに表示される追加の行数を設定します。

一画面分スクロールする(コマンド出力内)。

Space キーを押す。

一画面分後方にスクロールする(コマンド出力内)。

b キーを押す。

スクロール動作を中止する。

q キーを押す。

文字列を前方に検索する。

/ (スラッシュ記号)を押し、 文字列 を入力する。

文字列を後方に検索する。

? (疑問符)キーを押し、 文字列 を入力する。

アクションをキャンセルするか、パラメータを削除する。

そのコマンドの no 形式を使用する。

現在の操作に関連する情報を表示する。

show コマンドを入力する。

現在のコマンド グループ レベルを終了して上位のグループ レベルに移る。

exit コマンドを入力する。

すべてのコマンド グループ レベルを終了してルート レベルに戻る。

end コマンドを入力する。

特定の文字列を含む最初の行も含めて、その行からコマンド出力を表示する。

| (縦線)を押し、 begin string コマンドを入力する。

特定の文字列を含むコマンド出力の行を表示する。

| (縦線)を押し、 include string コマンドを入力する。

特定の文字列を含まないコマンド出力の行を表示する。

| (縦線)を押し、 exclude string コマンドを入力する。


) ルート レベルで exit コマンドを入力すると、CLI 環境が終了し、オペレーティング システムのログイン画面に戻ります。


コマンドの no 形式の使用

ほとんどすべての設定コマンドに、 no 形式があります。一般に、コマンドの no 形式は、特定の機能をディセーブルにする場合に使用します。ディセーブルになっている機能をイネーブルにするには、キーワード no を取ってそのコマンドを使用します。たとえば、 event monitor コマンドではイベント モニタが有効になり、 no event monitor コマンドでは無効になります。

show コマンド構文

ゾーン設定モードから、ゾーン関連の show コマンドを実行できます。また、これらのコマンドは、グローバル モードまたは設定モードからも実行できます。

グローバル モードまたは設定モードの show コマンドの構文は、次のとおりです。

show zone zone-name zone-parameters

ゾーン設定モードの show コマンドの構文は、次のとおりです。

show zone- parameters


) このマニュアルでは、明示的な指定がない限り、ゾーン設定モードの show コマンド構文を使用します。


CLI のエラー メッセージ

Guard モジュール CLI では、次の場合にエラー メッセージが表示されます。

コマンドの構文が不完全であるか、間違っている場合。

コマンドがシステムの設定と一致しない場合。

システムの障害のために操作を実行できなかった場合。この場合は、システムのログにエントリが作成されます。

CLI 使用のヒント

この項では、CLI の使用に関するヒントを提供し、次のトピックについて取り上げます。

ヘルプの使用

タブ補完の使用

操作の方向の規定について

コマンドの省略

ワイルドカード文字の使用

ヘルプの使用

CLI では、コマンド階層のすべてのモードで状況依存のヘルプが用意されています。ヘルプの情報では、現在のコマンド モードで使用可能なコマンドが示され、各コマンドの簡単な説明が提供されます。

ヘルプを表示するには、 ? と入力します。

コマンドのヘルプを表示するには、そのコマンドの後ろに ? を入力します。

モードで使用可能なすべてのコマンドとその簡単な説明を表示するには、コマンド プロンプトで ? を入力します。

ヘルプには、現在のモードで使用可能なコマンドのみが表示されます。

タブ補完の使用

タブ補完を使用すると、コマンドの入力に必要な文字数を減らすことができます。コマンドの初めの文字をいくつか入力して Tab キーを押すと、コマンドを補完することができます。

複数のオプションで値を指定するコマンドを入力し、 Tab キーを 2 回押すと、使用可能な入力パラメータが表示されます。これにはシステム定義のパラメータとユーザ定義のパラメータも含まれます。たとえば、ゾーン設定モードで policy-template コマンドを入力し、 Tab キーを 2 回押すと、ポリシー テンプレート名のリストが表示されます。設定モードで zone コマンドを入力し、 Tab キーを 2 回押すと、定義済みのゾーンが表示されます。

タブ補完で複数のコマンドが一致する場合は、何も表示されず、入力した現在の行がもう一度表示されます。

タブ補完機能では、現在のモードで使用可能なコマンドのみが表示されます。

aaa authorization commands zone-completion tacacs+ コマンドを使用すると、グローバル モードと設定モードですべてのコマンド( zone コマンドや show zone コマンドなど)におけるゾーン名のタブ補完をディセーブルにできます。詳細については、「ゾーン名のタブ補完のディセーブル化」を参照してください。

操作の方向の規定について

コマンド構文中のキーワードの順序によって、操作の方向が規定されます。コマンドを入力する前にキーワードを入力すると、Guard モジュールは Guard モジュールからサーバにデータをコピーします。キーワードを入力する前にコマンドを入力すると、Guard モジュールはサーバから Guard モジュールにデータをコピーします。たとえば、 copy log ftp コマンドではログ ファイルが Guard モジュールから FTP サーバにコピーされます。 copy ftp new-version コマンドでは、新規ソフトウェア バージョン ファイルが FTP サーバから Guard モジュールにコピーされます。

コマンドの省略

コマンドやキーワードは、一意な省略形を保てる文字数まで短縮できます。

たとえば、 show コマンドは sh まで短縮できます。

ワイルドカード文字の使用

ワイルドカードとして、アスタリスク(*)を使用できます。たとえば、 learning policy-construction * コマンドを入力すると、Guard モジュールで設定されているすべてのゾーンでポリシー構築フェーズがアクティブになります。

learning policy-construction scan* コマンドを入力すると、scan で始まる名前を持つ Guard モジュールで設定されているすべてのゾーン(scannet や scanserver など)でポリシー構築フェーズがアクティブになります。

no zone * コマンドを入力すると、すべてのゾーンが削除されます。

Guard モジュールのインターフェイスの設定

Guard モジュールのインターフェイスを設定するには、Guard モジュールと 3 つのギガビット イーサネット ポート間のマッピングについて理解する必要があります。このギガビット イーサネット ポートとは、Guard モジュールをスイッチ ファブリックに接続するものを指します。インターフェイス指定子と機能は、Guard モジュールの帯域幅動作(1 Gpbs または 3 Gpbs)によって異なります。Guard モジュールの帯域幅動作を判別するには、「インストールされたソフトウェア バージョン番号とライセンス契約の表示」を参照してください。

表3-4 に、スーパーバイザ エンジンのポートと Guard モジュールのインターフェイスの相関を示します。

 

表3-4 スーパーバイザ エンジンと Guard モジュールのインターフェイス ポートのマッピング

スーパーバイザのポート
Guard モジュールのインターフェイス

 

1 Gbps 動作
3 Gbps 動作

ポート 1

eth1:アウトオブバンド管理トラフィック

giga1:データおよびインバンド管理トラフィック

ポート 2

giga2:データ トラフィック

giga2:データおよびインバンド管理トラフィック

ポート 3

giga3:未使用

giga3:データおよびインバンド管理トラフィック


) (3 Gbps 動作のみ)ゾーン保護をアクティブにすると、Guard モジュールは最初に、トラフィックの宛先変更で使用される 3 つのインターフェイスの設定を確認します。それらのインターフェイスが適正に設定されていない場合、Guard モジュールはゾーン保護をアクティブにしません。確認プロセスの詳細については、「Guard モジュールのネットワーク設定の検証」を参照してください。


次のコマンドを入力することにより、設定モードに入って Guard モジュールを設定できます。

configure [ terminal ]

次の例は、設定モードに入る方法を示しています。

user@GUARD# configure
user@GUARD-conf#
 

Guard モジュールが正しく動作するように、Guard モジュールのインターフェイスを設定する必要があります。 interface コマンドを入力するときには、インターフェイスのタイプと番号を指定する必要があります。

すべての物理インターフェイスおよび仮想インターフェイスの設定プロセスに適用される、次のガイドラインに従ってください。

個々の VLAN で IP アドレスを設定するのでない限り、各インターフェイスには一意の IP アドレスと IP サブネット マスクを設定する必要があります。

no shutdown コマンドを使用して、各インターフェイスをアクティブにする必要があります。

インターフェイスのステータスまたは現在の設定を表示するには、 show または show running-config コマンドを入力します。

この項では、次のトピックについて取り上げます。

物理インターフェイスの設定

Guard モジュールのインターフェイスでの VLAN の設定

物理インターフェイスのカウンタのクリア

物理インターフェイスの設定

Guard モジュールをスーパーバイザ エンジンに接続する物理インターフェイスを設定できます。


注意 同じサブネット上で 2 つのインターフェイスを設定しないでください。Guard モジュールのルーティングが正しく機能しなくなる場合があります。

物理インターフェイスを設定するには、次の手順を実行します。


ステップ 1 設定モードで次のコマンドを入力し、インターフェイス設定モードに入ります。

interface if-name
 

if-name 引数は、 表3-5 に示されるインターフェイス名を指定します。

 

表3-5 Guard モジュールのインターフェイス

1 Gbps 動作
3 Gbps 動作

eth1:アウトオブバンド管理トラフィック

giga1:データおよびインバンド管理トラフィック

giga2:データ トラフィック

giga2:データおよびインバンド管理トラフィック

giga3:未使用

giga3:データおよびインバンド管理トラフィック

ステップ 2 次のコマンドを入力して、インターフェイスの IP アドレスを設定します。

ip address ip-addr ip-mask
 

ip-addr 引数および ip-mask 引数には、インターフェイスの IP アドレスを指定します。IP アドレスとサブネット マスクをドット区切り 10 進表記で入力します(たとえば IP アドレスが 192.168.100.1、サブネット マスクが 255.255.255.0)。

ステップ 3 (オプション)次のコマンドを入力して、インターフェイスの MTU を定義します。

mtu integer
 

integer 引数は、すべてのインターフェイスに対して 576 ~ 1800 の整数です。デフォルトの MTU の値は 1,500 バイトです。

ステップ 4 次のコマンドを入力して、インターフェイスをアクティブにします。

no shutdown
 

ステップ 5 ステップ 1 ~ 4 を繰り返し、残りの物理インターフェイスのそれぞれを設定します。


 

インターフェイスをアクティブまたは非アクティブにした後は、Guard モジュールをリロードして設定の変更を有効にする必要があります。

次の 1 Gbps 動作例は、データ トラフィック用の giga2 インターフェイスを設定してアクティブにする方法を示しています。

user@GUARD-conf# interface giga2
user@GUARD-conf-if-giga2# ip address 192.168.100.33 255.255.255.252
user@GUARD-conf-if-giga2# no shutdown
 

次の 3 Gbps 動作例は、データ トラフィック用の 3 つのインターフェイスのすべてを設定してアクティブにする方法を示しています。

user@GUARD-conf# interface giga1
user@GUARD-conf-if-giga1# ip address 192.168.100.33 255.255.255.252
user@GUARD-conf-if-giga1# no shutdown
user@GUARD-conf-if-giga1# interface giga2
user@GUARD-conf-if-giga2# ip address 192.168.100.34 255.255.255.252
user@GUARD-conf-if-giga2# no shutdown
user@GUARD-conf-if-giga2# interface giga3
user@GUARD-conf-if-giga3# ip address 192.168.100.35 255.255.255.252
user@GUARD-conf-if-giga3# no shutdown
 

物理インターフェイスを非アクティブにするには、インターフェイス設定モードで shutdown コマンドを使用します。

Guard モジュールのインターフェイスでの VLAN の設定

1 つのインターフェイスでのみ動作する(1 Gbps 動作) Guard モジュールでデータ トラフィック VLAN を設定する場合は、インターフェイス giga2 のみで VLAN を設定します。

3 Gbps 動作のライセンスが有効な Guard モジュールでデータ トラフィック VLAN を設定する場合は、Guard モジュールの 3 つのインターフェイスそれぞれで VLAN を設定する必要があります。Guard モジュールの管理トラフィック用 VLAN の場合は、インターフェイスの 1 つでのみ VLAN を設定できます。


) Guard モジュールで VLAN を設定する前に、スーパーバイザ エンジンで VLAN を定義してから、その VLAN を Guard モジュールに割り当てる必要があります。詳細については、「管理およびデータ トラフィックの VLAN の設定」を参照してください。


Guard モジュール上で VLAN を設定するには、次の手順を実行します。


ステップ 1 既存の VLAN で VLAN インターフェイス設定モードに入るか、設定モードまたはインターフェイス設定モードで次のコマンドを入力することにより新規 VLAN を設定します。

interface interface.vlan-id
 

interface 引数は、物理インターフェイス番号(giga1、giga2、または giga3)で、その後に小数点(.)が続きます。 vlan-id 引数は、VLAN ID 番号(TAG IEEE 802.1Q 番号)を指定する整数です。

ステップ 2 次のコマンドを入力して、VLAN IP アドレスを設定します。

ip address ip-addr ip-mask
 

ip-addr 引数および ip-mask 引数には、インターフェイスの IP アドレスを指定します。IP アドレスとサブネット マスクをドット区切り 10 進表記で入力します(たとえば IP アドレスが 192.168.100.1、サブネット マスクが 255.255.255.0)。

ステップ 3 (オプション)次のコマンドを入力して、インターフェイスの MTU を定義します。

mtu integer
 

integer 引数は、576 ~ 1,824 バイトの整数です。

デフォルトの MTU の値は 1,500 バイトです。

ステップ 4 次のコマンドを入力して、インターフェイスをアクティブにします。

no shutdown
 

ステップ 5 (3 Gbps 動作のみ)VLAN をデータ トラフィックでのみ使用し、管理トラフィックでは使用しない場合は、次の規則に従い、残りの 2 つのインターフェイスでステップ 1 ~ 4 を繰り返します。

インターフェイスごとに同じ VLAN ID を使用する。

各インターフェイスに一意の VLAN IP アドレスを割り当てる(アドレスはすべて同じサブネットに属する必要があります)。

各インターフェイスで同じサブネット マスクを使用する。


 

次の 1 Gbps 動作の例は、giga2 データ トラフィック インターフェイスで VLAN 124 を設定し、そのインターフェイスをアクティブにする方法を示しています。

user@GUARD-conf# interface giga2.124
user@GUARD-conf-if-giga2.124# ip address 192.168.5.4 255.255.255.0
user@GUARD-conf-if-giga2.124# no shutdown
 

次の 3 Gbps 動作の例は、Guard モジュールの 3 つのインターフェイスで VLAN 124 を設定し、それらのインターフェイスをアクティブにする方法を示しています。

user@GUARD-conf# interface giga1.124
user@GUARD-conf-if-giga1.124# ip address 192.168.5.4 255.255.255.0
user@GUARD-conf-if-giga1.124# no shutdown
user@GUARD-conf-if-giga1.124# interface giga2.124
user@GUARD-conf-if-giga2.124# ip address 192.168.5.6 255.255.255.0
user@GUARD-conf-if-giga2.124# no shutdown
user@GUARD-conf-if-giga2.124# interface giga3.124
user@GUARD-conf-if-giga3.124# ip address 192.168.5.8 255.255.255.0
user@GUARD-conf-if-giga3.124# no shutdown
 

物理インターフェイスのカウンタのクリア

テストを行う予定があり、データに使用される物理インターフェイスのカウンタにテスト セッションの情報だけを反映する場合は、このカウンタをクリアすることができます。

物理インターフェイスのカウンタをクリアするには、インターフェイス設定モードで次のコマンドを入力します。

clear counters

次の例は、インターフェイス giga2 のカウンタをクリアする方法を示しています。

user@GUARD-conf-if-giga2# clear counters
 

デフォルト ゲートウェイの設定

デフォルト ゲートウェイは、ローカル ネットワークで未知の IP アドレスを持つパケットの受信と転送を行います。ほとんどの場合、Guard モジュールのデフォルト ゲートウェイの IP アドレスは、Guard モジュールとインターネットの間に存在する隣接ルータです。デフォルト ゲートウェイ アドレスは、Guard モジュールのネットワーク インターフェイスの IP アドレスのいずれかと同じネットワーク上にある必要があります。


注意 デフォルト ゲートウェイの IP アドレスを設定していない場合、Guard モジュールがネットワークにアクセスできないことがあります。

デフォルト ゲートウェイ アドレスを割り当てるには、設定モードで次のコマンドを入力します。

default-gateway ip-addr

ip-addr 引数には、デフォルト ゲートウェイの IP アドレスを指定します。IP アドレスをドット区切り 10 進表記で入力します(たとえば 192.168.100.1)。

デフォルト ゲートウェイ アドレスを変更するには、このコマンドを再入力します。

次の例は、デフォルト ゲートウェイを設定する方法を示しています。

user@GUARD-conf# default-gateway 192.168.100.1
 

ルーティング テーブルへのスタティック ルートの追加

スタティック ルートを Guard モジュールのルーティング テーブルに追加して、Guard モジュールの IP インターフェイスに関連付けられたローカル ネットワークの外側にあるサーバまたはネットワークのルートを指定できます。スタティック ルートは永続的に追加され、Guard モジュールのリブート後も残ります。


) (3 Gbps 動作のみ)確認プロセスを実行する間、Guard モジュールは、トラフィックの宛先変更と注入で指定するネクストホップ IP アドレスごとにスタティック ルートが存在することを確認します。確認プロセスの詳細については、「Guard モジュールのネットワーク設定の検証」を参照してください。トラフィックの宛先変更設定の詳細については、「トラフィックの宛先変更について」を参照してください。


Guard モジュールのルーティング テーブルにスタティック ルートを追加するには、設定モードで次のコマンドを入力します。

ip route ip-addr ip-mask nexthop-ip [if-name]

表3-6 に、 ip route コマンドの引数を示します。

 

表3-6 ip route コマンドの引数

パラメータ
説明
ip-addr

ルートの宛先ネットワーク。宛先には、IP ネットワーク アドレス(ネットワーク アドレスのホスト ビットは 0 に設定)またはホスト ルートの IP アドレスを指定できます。IP アドレスをドット区切り 10 進表記で入力します(たとえば 192.168.100.1)。

ip-mask

宛先ネットワークに関連付けられたサブネット マスク。サブネット マスクをドット区切り 10 進表記で入力します(たとえば 255.255.255.0)。

nexthop-ip

宛先ネットワークとサブネット マスクによって定義された一連のアドレスへの到達を可能にする転送アドレスまたはネクストホップ IP アドレス。ネクストホップ IP アドレスは、インターフェイスのサブネット内にある必要があります。ローカル サブネット ルートでは、ネクストホップ IP アドレスは、そのサブネットに接続されたインターフェイスに割り当てられている IP アドレスです。1 つ以上のルータをまたいで使用可能なリモート ルートの場合、ネクストホップ IP アドレスは、ネイバールータに割り当てられている直接到達可能な IP アドレスです。

if-name

(オプション)宛先への到達が可能な Guard モジュールのインターフェイス。インターフェイスを指定しなかった場合、Guard モジュールのルーティング テーブルのネクストホップ IP アドレスが、使用されるインターフェイスを判別します。

次の例は、スタティック ルートを設定する方法を示しています。

user@GUARD-conf# ip route 172.16.31.5 255.255.255.255 192.168.100.34
 

ルーティング テーブルを表示するには、 show ip route コマンドを入力します。

プロキシ IP アドレスの設定

Guard モジュールのプロキシ IP アドレスは、プロキシ モードのスプーフィング防止保護メカニズムで必要になります。このメカニズムで、Guard モジュールはゾーンに対して TCP プロキシの役割を果たします。Guard モジュールはまず新しい接続を認証し、その後自分自身の IP アドレスを発信元 IP アドレスとして使用して、ゾーンとの接続を開始します。


注意 まず、Guard モジュールのデータ トラフィック インターフェイスのそれぞれでプロキシ IP アドレスを定義しなければ、ゾーン保護をアクティブにできません。1 Gbps 動作の場合、データ インターフェイスは giga2 です。3 Gbps 動作の場合、データ インターフェイスは giga1、giga2、および giga3 です。

Guard モジュールでプロキシ IP アドレスを設定する場合は、次の規則と推奨事項に従ってください。

ゾーン保護がイネーブルになっているときには、プロキシ IP アドレスを割り当てない。

少なくとも 1 つのプロキシ IP アドレスを使用して各データ インターフェイスを設定する。

ネットワークでロード バランシングを使用してネットワークの過負荷を分散している場合、またはネットワークで多数の同時接続が必要とされる場合は、インターフェイスあたり 3 つから 4 つのプロキシ IP アドレスを設定する。

プロキシ IP アドレスは、インターフェイスあたり最大 60 個設定できる。ただし、プロキシ IP アドレスの数が増えるとメモリ リソースの消費量も増えるため、プロキシ IP アドレスは 20 個以上設定しないことをお勧めします。


) (3 Gbps 動作のみ)ゾーン保護をアクティブにすると、Guard モジュールは最初に、データトラフィックとトラフィックの宛先変更で使用される 3 つのインターフェイスの設定を確認します。確認プロセスには、各インターフェイスで設定されるプロキシのチェックが含まれます。それらのインターフェイスが適正に設定されていない場合、Guard モジュールはゾーン保護をアクティブにしません。確認プロセスの詳細については、「Guard モジュールのネットワーク設定の検証」を参照してください。


Guard モジュールのスプーフィング防止プロキシ IP アドレスを設定するには、各データ インターフェイスのインターフェイス設定モードで次のコマンドを入力します。

proxy ip-addr

ip-addr 引数には、プロキシ IP アドレスを指定します。IP アドレスをドット区切り 10 進表記で入力します(たとえば 192.168.100.1)。

各ゾーンと Guard モジュールのプロキシ IP アドレス間のルートを確認する必要があります。Guard モジュールは、プロキシ IP アドレスに対する ping 要求には応答しません。

追加のプロキシ IP アドレスを設定するには、このコマンドを再入力します。

次の 1 Gbps 動作例は、プロキシ IP アドレスを使用して giga2 データ トラフィック インターフェイスを設定する方法を示しています。

user@GUARD-conf# interface giga1
user@GUARD-conf-if-giga1# proxy 192.168.100.34
 

次の 3 Gbps 動作例は、プロキシ IP アドレスを使用して 3 つのインターフェイスすべてを設定する方法を示しています。

user@GUARD-conf# interface giga1
user@GUARD-conf-if-giga1# proxy 192.168.100.34
user@GUARD-conf-if-giga1# interface giga2
user@GUARD-conf-if-giga2# proxy 192.168.100.36
user@GUARD-conf-if-giga2# interface giga3
user@GUARD-conf-if-giga3# proxy 192.168.100.38
 

ゾーンによるプロキシ使用率の表示については、「ゾーンのプロキシ使用率の表示」を参照してください。

Guard モジュールの管理

スーパーバイザからセッションを確立し、Guard モジュールのネットワーク機能を設定した後は(「スーパーバイザ エンジンへの Guard モジュールの設定」「Guard モジュールのインターフェイスの設定」を参照)、次のいずれかの方法を使用して Guard モジュールにアクセスし、管理することができます。

Secure Shell(SSH; セキュア シェル)のセッションを使用した Guard モジュールへのアクセス。

Web-Based Manager(WBM)を使用した Guard モジュールへのアクセス。

MultiDevice Manager(MDM)を使用した Guard モジュールへのアクセス。

DDoS 検知ネットワーク要素からの Guard モジュールへのアクセス。詳細については、該当するマニュアルを参照してください。

この項では、次のトピックについて取り上げます。

Cisco Web-Based Manager による Guard モジュールの管理

Cisco DDoS MultiDevice Manager による Guard モジュールの管理

SSH を使用した Guard モジュールへのアクセス

Cisco Web-Based Manager による Guard モジュールの管理

WBM により、Web ブラウザを使用して、Web から個々の Guard モジュールを管理できます。

WBM サービスをイネーブルにして Guard モジュールを管理するには、次の手順を実行します。


ステップ 1 設定モードで次のコマンドを入力して、WBM サービスをイネーブルにします。

service wbm
 

ステップ 2 設定モードで次のコマンドを入力して、リモート マネージャの IP アドレスから Guard モジュールへのアクセスを許可します。

permit wbm {* | ip-addr [ip-mask]} [if-service]
 

表3-7 に、 permit wbm コマンドの引数を示します。

 

表3-7 permit wbm コマンドの引数

パラメータ
説明
*

ワイルドカード文字としてのアスタリスク(*)。アスタリスク(*)を使用すると、すべてのリモート マネージャの IP アドレスからのアクセスが許可されます。


注意 セキュリティ上の理由から、すべての IP アドレスからのサービスからのアクセスを許可することはお勧めしません。
ip-addr

リモート マネージャの IP アドレス。IP アドレスをドット区切り 10 進表記で入力します(たとえば 192.168.100.1)。

ip-mask

(オプション)サブネット マスク。サブネット マスクをドット区切り 10 進表記で入力します(たとえば 255.255.255.0)。

if-service

(オプションで 1 Gbps 動作のみ)ユーザ アクセスを管理インターフェイスだけに制限する管理ポート指定子。デフォルトはすべてのインターフェイスです。eth1 を入力します。

デフォルト設定に戻すには、このコマンドの no バージョンを使用します。

ステップ 3 ネットワーク PC で、Web ブラウザを開いて次の URL を入力します。

https://Guard module-ip-address/
 

Guard module-ip-address 引数は、Guard モジュールの IP アドレスです。

Guard モジュールの WBM ウィンドウが表示されます。


) Web ベース管理制御をイネーブルにするには、HTTP ではなく HTTPS が使用されます。


ステップ 4 ユーザ名とパスワードを入力し、OK をクリックします。ユーザ名とパスワードを正しく入力すると、Guard モジュールのホームページが表示されます。

Guard モジュールが Terminal Access Controller Access Plus(TACACS+)認証を使用するように設定されている場合、Guard モジュールはローカル データベースではなく TACACS+ ユーザ データベースをユーザ認証に使用します。TACACS+ サーバ上で高度な認証アトリビュート(パスワードの有効期限など)が設定されている場合、Guard モジュールが TACACS+ サーバ上のユーザ設定に基づいて新しいパスワードの入力を要求したり、パスワードがいつ期限切れになるかを通知したりします。


 

次の例は、Guard モジュール WBM をイネーブルにする方法を示しています。

user@GUARD-conf# service wbm
user@GUARD-conf# permit wbm 192.168.30.32
 

WBM を使用して Guard モジュールを管理する方法の詳細については、該当する『 Cisco Web-Based Manager Configuration Guide 』を参照してください。

Cisco DDoS MultiDevice Manager による Guard モジュールの管理

Cisco DDoS MultiDevice Manager(MDM)はサーバベースのアプリケーションで、このアプリケーションにより、Web ブラウザを使用して Web から 1 つ以上の Guard モジュールを管理できます。MDM を使用して Guard モジュールのネットワークを管理するには、次のアクションを実行する必要があります。

ネットワーク サーバに MDM ソフトウェアをインストールし、設定します(『 Cisco DDoS MultiDevice Manager Configuration Guide 』を参照)。

Guard モジュールで MDM サービスをイネーブルにし、次の手順で説明されるとおり、MDM のアクセスを許可する。

Guard モジュールで MDM サービスをイネーブルにするには、次の手順を実行します。


ステップ 1 設定モードで次のコマンドを入力して、MDM のサービスをイネーブルにします。

service mdm
 

ステップ 2 設定モードで次のコマンドを入力して、MDM から Guard モジュールへのアクセスを許可します。

mdm server ip-addr
 

ip-addr 引数には、MDM サーバの IP アドレスを指定します。IP アドレスをドット区切り 10 進表記で入力します。


 

次の例は、MDM のサービスをイネーブルにする方法、および MDM からのアクセスを許可する方法を示しています。

user@GUARD-conf# service mdm
user@GUARD-conf# mdm server 192.168.30.32
 

MBM を使用して Guard モジュールを管理する方法については、『 Cisco DDoS MultiDevice Manager Configuration Guide 』を参照してください。

SSH を使用した Guard モジュールへのアクセス

SSH 接続を使用して、Guard モジュールにアクセスすることができます。

SSH サービスは、デフォルトでイネーブルになっています。

SSH を使用して Guard モジュールにアクセスするには、次の手順を実行します。


ステップ 1 設定モードで次のコマンドを入力して、リモート ネットワークの IP アドレスから Guard モジュールへのアクセスを許可します。

permit ssh {ip-addr [ip-mask] | *} [if-service]
 

表3-8 に、 permit ssh コマンドの引数を示します。

 

表3-8 permit ssh コマンドの引数

パラメータ
説明
ip-addr

リモート ネットワークの IP アドレス。IP アドレスをドット区切り 10 進表記で入力します(たとえば 192.168.100.1)。

ip-mask

(オプション)サブネット マスク。サブネット マスクをドット区切り 10 進表記で入力します(たとえば 255.255.255.0)。

*

アスタリスク文字。すべてのリモート ネットワークからのアクセスを許可します。

if-service

(オプションで 1 Gbps 動作のみ)ユーザ アクセスを管理インターフェイスだけに制限する管理ポート指定子。デフォルトはすべてのインターフェイスです。eth1 を入力します。

デフォルト設定に戻すには、このコマンドの no バージョンを使用します。

ステップ 2 リモート ネットワーク アドレスから接続を確立し、ログイン ユーザ名とパスワードを入力します。

Guard モジュールが TACACS+ 認証を使用するように設定されている場合、Guard モジュールはローカル データベースではなく TACACS+ ユーザ データベースをユーザ認証に使用します。TACACS+ サーバ上で高度な認証アトリビュート(パスワードの有効期限など)が設定されている場合、Guard モジュールが TACACS+ サーバ上のユーザ設定に基づいて新しいパスワードの入力を要求したり、パスワードがいつ期限切れになるかを通知したりします。

ログイン ユーザ名とパスワードを入力しないで SSH 接続をイネーブルにするには、次の手順を実行します。

ローカルに設定されたログインとパスワードを認証に使用するように Guard モジュールを設定します。詳細については、「認証の設定」を参照してください。

リモート接続 SSH の公開鍵を Guard モジュール SSH 鍵リストに追加します。詳細については、「SSH 鍵の管理」を参照してください。


 

次の例は、Guard モジュールへの SSH 接続をイネーブルにする方法を示しています。

user@GUARD-conf# permit ssh 192.168.30.32